- Configuration ASA/PIX Sécurité - ASA/PIX 7.x - Configuration ASA/PIX avec RIP ccnp_cch

Sommaire  Introduction - Prérequis - Composants utilisés - Produits liés  Rappel  Configuration - Schéma du réseau - Configurations - Configuration avec l'ASDM - Configuration de l' authentification RIP - Configuration CLI de l'ASA Cisco - Configuration CLI IOS Cisco Routeur R2 - Configuration CLI IOS Cisco Routeur R1 - Configuration CLI IOS Cisco Routeur R3 - Redistribution de RIP avec l'ASA  Vérification  Résolution de problèmes - Commandes pour résolution de problèmes ccnp_cch

Introduction Ce document explique comment configurer l'appliance de sécurité Cisco ASA pour qu'elle apprenne les routes à travers RIP (Routing Information Protocol), réalise l' au- thentification et la redistribution. Note: La configuration présentée dans ce document est basée sur la version 2 de RIP. Note: Le routage assymétrique n'est pas supporté dans l'ASA/PIX. Prérequis Assurez-vous d'avoir les prérequis suivants avant de tenter cette configuration:  L'ASA/PIX Cisco doit opérer avec la version 7.x ou suivantes  RIP n'est pas supporté en mode multi-contexte, il est supporté en mode "single". Components Used Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes:  Cisco 5500 Adaptive Security Appliance (ASA) qui opère avec un logiciel version 8.0 ou suivantes.  Cisco Adaptive Security Manager (ASDM) version 6.0 ou suivantes. Produits liés Cette configuration peut être aussi utilisée avec le PIX Cisco série 500 qui opère avec une version 8.0(x) ou suivantes. Rappel RIP est un protocole de routage vecteur distance qui utilise le nombre de sauts comme métrique pour la sélection de chemin. Quand RIP est validé sur une interface, l'inter- face échange des broadcasts RIP avec des équipements avoisinants pour apprendre dynamiquement des routes et les annoncer. L'appliance de sécurité supporte RIP version 1 et RIP version 2. RIP version 1 ne trans- met pas le masque de sous-réseau avec la table de routage. RIP version 2 transmet le masque de sous-réseau avec la mise à jour de routage et supporte les masques de lon- gueur variable. De plus RIP version 2 supporte l'authentification du voisin quand les mises à jour sont échangées. Cette authentification assure que l'appliance de sécurité reçoit des informations de routage fiables d'une source fiable. Limitations : 1. L'appliance de sécurité ne peut pas passer des mises à jour RIP entre interfaces. ccnp_cch

Configuration ccnp_cch 2. RIP version 1 ne supporte pas le VLSM (Variable Length Subnet Mask). 3. RIP a un nombre maximal de sauts égal à 15. Une route avec un nombre de sauts supérieur à 15 est considérée comme inaccessible. 4. La convergence RIP est relativement lente comparée à celle des autres protocoles de routage. 5. Vous pouvez activer un seul processus RIP sur l'appliance de sécurité. Note: Ces informations s'appliquent uniquement à RIPv2 1. Si vous utilisez l'authentification de voisins, la clé d'authentification et l'ID de clé doivent être les mêmes sur tous les équipements voisins qui délivrent des mises à jour RIP version 2 vers cette interface. 2. Avec RIP version 2, l'appliance de sécurité transmet et reçoit les mises à jour de routes par défaut en utilisant l'adresse multicast 224.0.0.9. En mode passif elle reçoit les mises à jour à cette adresse. 3. Quand RIP version 2 est configuré sur une interface, l'adresse multicast 224.0.0.9 est enregistrée sur cette interface. Quand la configuration RIP version 2 est retirée de l'interface, l'adresse multicast est également retirée. Configuration Schéma du réseau 172.16.1.0/24 R3 .2 172.16.1.0/24 Internet 10.1.1.0/24 .1 .2 .1 Inside Outside .1 R2 172.16.2.0/24 ASA 172.16.5.0/24 .2 R1 ccnp_cch

Configurations ccnp_cch Ce document utilise ces configurations:  Configuration avec l'ASDM  Configurer l' Authentification RIP  Configuration ASA Cisco avec la CLI  Configuration CLI IOS Cisco Routeur R2  Configuration CLI IOS Cisco Routeur R1  Configuration CLI IOS Cisco Routeur R3 Configuration avec l'ASDM L'ASDM (Adaptive Security Device Manager) est une application, basée sur un naviga- teur web, utilisée pour configurer et superviser le logiciel sur les appliances de sécu- rité. L'ASDM est chargé à partir de l'appliance de sécurité et il est ensuite utilisé pour configurer, superviser et administrer l'équipement. Vous pouvez également utiliser l'ASDM Launcher (Windows uniquement) pour lancer l'application ASDM plus rapide- ment que l'applet Java. Cette section décrit les informations dont vous avez besoin pour configurer les fonctionnalités décrites dans ce document avec l'ASDM. Exécutez ces étapes pour configurer RIP sur l'ASA Cisco. 1. Loggez vous sur l'ASA Cisco avec l'ASDM. 2. Naviguez vers Configure> Device Setup> Routing> RIP sur l'interface ASDM comme le montre la figure suivante. ccnp_cch

3. Choisissez Configure> Device Setup> Routing> RIP> Setup pour valider le rou- tage RIP. a. Cochez la case Enable RIP routing. b. Cochez la case Enable RIP version avec le bouton radio Version 2 validé. c. Dans le panneau Networks, ajoutez le réseau 10.1.1.0. d. Cliquez sur Apply. Champs a. Enable RIP routing - Cochez cette case pour valider le routage RIP sur l'appliance de sécurité. Quand vous validez RIP, il est validé sur toutes les interfaces. Si vous cochez cette case cela valide d'autres champs dans le panneau. Décochez cette case pour dévalider le routage RIP sur l'appliance de sécurité. b. Enable auto-summarization - Décochez cette case pour dévalider le résumé auto- matique de routes. Cochez cette case pour revalider le résumé automatique de routes. RIP version 1 utilise toujours le résumé automatique de routes. Vous ne pouvez pas dévalider le résumé automatique de routes pour RIP Version 1. Si vous utilisez RIP version 2 vous pouvez arrêter le résumé automatique de routes si décochez cette case. Dévalidez le résumé automatique de routes si vous devez réaliser du routage entre sous-réseaux disjoints. Quand le résumé automatique est dévalidé, les sous-réseaux sont annoncés. ccnp_cch

c. Enable RIP version - Cochez cette case pour spécifier la version de RIP utilisée sur l'appliance de sécurité. Si cette case est décochée alors l'appliance de sécurité transmet des mises à RIP version 1 et accepte des mises à jour RIP version 1 et RIP version 2. Ce paramètre peut être outrepassé par interface dans le panneau Interface. ▪ Version 1 - Spécifie que l'appliance de sécurité transmet et reçoit uniquement des mises à jour RIP version 1. Toute mise à jour RIP version 2 est éliminée. ▪ Version 2 - Spécifie que l'appliance de sécurité transmet et reçoit uniquement des mises à jour RIP version 2. Toute mise à jour RIP version 1 est éliminée. d. Enable default information originate - Cochez cette case pour générer une route par défaut dans le processus de routage RIP. Vous pouvez configurer une route map qui doit être satisfaite avant que la route par défaut soit générée. ▪ Route Map - Entrez le nom de la route-map à appliquer. Le processus de routa- ge génère une route par défaut si la route-map est satisfaite. e. IP Network to Add - Définit un réseau IP à ajouter au processus de routage RIP. Le réseau spécifié ne doit pas contenir d'information de sous-réseau. Il n'y a pas de limite au nombre de sous-réseaux que vous pouvez ajouter à la configuration de l'appliance de sécurité. Les mises à jour de routage RIP sont transmises et re- çues uniquement à travers les interfaces des réseaux spécifiés. Ainsi si le réseau d'une interface n'est pas spécifié, l'interface n'est pas annoncée dans la mise à jour RIP. ▪ Add - Cliquez sur ce bouton pour ajouter le réseau spécifié à la liste des réseaux. ▪ Delete - Cliquez sur ce bouton pour retirer le réseau sélectionné de la liste. f. Passive Interfaces / Global passive - Pour configurer les interfaces de l'appliance de sécurité en mode RIP passif de manière globale, cochez cette case. L'appliance de sécurité écoute les mises à jour de routage RIP sur toutes les interfaces et utili- se l'information pour remplir sa table de routage mais ne diffuse pas de mise à jour. Utilisez le tableau du panneau Passive Interfaces pour spécifier un ensem- ble d'interfaces passives. g. Tableau des interfaces passives - Liste les interfaces configurées sur l'appliance de sécurité. Cochez la case dans la colonne Passive pour les interfaces qui doivent opérer en mode passif. Les autres interfaces transmettent et reçoivent toujours les mises à jour. ccnp_cch

ccnp_cch Configurer l'authentification RIP L'ASA Cisco supporte l'authentification MD5 des mises à jour de routage issues du protocole de routage RIPv2. Le digest MD5 dans chaque paquet RIP évite l'introduc- tion de faux messages de routage non-autorisés de sources non approuvées. L'addi- tion de l'authentification aux messages RIP assure que vos routeurs et l'ASA Cisco acceptent des messages de routage uniquement des autres équipements de routage qui sont configurés avec la même clé pré-partagée. Sans cette authentification confi- gurée si vous introduisez un autre équipement de routage avec des informations con- traire ou différentes de celles de votre réseau, les tables de routage de vos routeurs ou de l'ASA peuvent être corrompues et une attaque de type déni de service peut s'ensui- vre. Quand vous ajoutez l'authentification RIP aux messages transmis entre vos équi- pements de routage, y compris l'ASA, vous évitez l'ajout volontaire ou accidentel d'un autre routeur dans le réseau et des problèmes qui peuvent en découler. L'authentification RIP est configurée par interface. Tous les voisins RIP sur les interfa- ces configurées pour l'authentification de message RIP doivent être configurés avec la même clé et le même mode d'authentification. Exécutez ces étapes pour valider l'authentification RIP MD5 sur l'ASA Cisco. 1. Sur l'ASDM, choisissez Configuration> Device Setup> Routing> RIP> Interface et choisissez l'interface inside. Cliquez sur Edit. ccnp_cch

2. Cochez la case Enable Authentication key et entrez les valeurs dans les champs Key et Key ID Cliquez sur OK puis sur Apply. ccnp_cch

ccnp_cch Configuration CLI de l'ASA Cisco Cisco ASA ciscoasa#show running−config : Saved : ASA Version 8.0(2) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names !−−− Configuration de l'interface Inside interface Ethernet0/1 nameif inside security−level 100 ip address 10.1.1.1 255.255.255.0 !−−− L'authentication RIP est configurée sur l'interface inside. rip authentication mode md5 rip authentication key <removed> key_id 1 !−−− Partie supprimée !−−− Configuration de l'interface Outside interface Ethernet0/2 nameif outside security−level 0 ip address 192.168.1.2 255.255.255.0 !−−− Configuration RIP router rip network 10.0.0.0 version 2 !−−− C'est la configuration de la route par défaut !−−− pour atteindre Internet. route outside 0.0.0.0 0.0.0.0 192.168.1.1 1 ccnp_cch

Configuration CLI IOS Cisco Routeur R2 interface Ethernet0 ip address 10.1.1.2 255.255.255.0 ip rip authentication mode md5 ip rip authentication key−chain 1 ! router rip version 2 network 10.0.0.0 network 172.16.0.0 no auto−summary Configuration CLI IOS Cisco Routeur R1 IOS Cisco Routeur R1 router rip version 2 network 172.16.0.0 no auto−summary Configuration CLI IOS Cisco Routeur R3 IOS Cisco Routeur R3 router rip version 2 network 172.16.0.0 ccnp_cch

Redistribue les routes OSPF dans RIP Redistribuer dans RIP avec l'ASA Vous pouvez redistribuer les routes des processus de routage OSPF et EIGRP, les rou- tes statiques et connectées dans le processus de routage RIP. Dans cet exemple, la redistribution des routes OSPF dans RIP est réalisée avec le schéma de réseau suivant: 172.16.1.0/24 172.16.5.0/24 Outside R3 R2 R1 Area 0 ASA Inside 172.16.2.0/24 .2 .1 10.1.1.0/24 192.168.3.0/24 192.168.2.0/24 192.168.1.0/24 Autonomous System Boundary Router (ASBR) Redistribue les routes OSPF dans RIP Router OSPF ccnp_cch

ccnp_cch Configuration ASDM Exécutez ces étapes. 1. Configuration OSPF a. Choisissez Configuration> Device Setup> Routing> OSPF dans l'interface de l'ASDM. b. Valider le processus de routage OSPF Setup avec l'onglet Process Interfaces comme le montre l'écran suivant. Dans cet exemple le processus OSPF à l'ID 1. ccnp_cch

c. Cliquez sur le bouton Advanced dans l'onglet Process Instances pour configu- rer des paramètres optionnels avancés du processus de routage OSPF. Vous pouvez éditer des paramètres spécifiques processus tels que le router ID, les changements d'adjacence, les distances administratives des routes, les timers et la génération de la route par défaut. ccnp_cch

ccnp_cch Cliquez sur OK. d. Après avoir exécuté les étapes précédentes, définissez les réseaux et interfaces qui participent au routage OSPF dans l'onglet Area/Networks. Cliquez sur Add. ccnp_cch

e. Cet écran est affiché. Dans cet exemple, seul le réseau que nous avons ajouté est le réseau externe (192.168.1.0/24) car OSPF est validé uniquement sur l'interface outside. Note: Seules les interfaces avec une adresse IP qui entre dans les réseaux dé- finis participent au processus de routage OSPF. Cliquez sur OK. f. Cliquez sur Apply. ccnp_cch

2. Choisissez Configuration> Device Setup> Routing> RIP> Redistribution> Add pour redistribuer les routes dans RIP. 3. Cliquez sur OK puis sur Apply. ccnp_cch

Configuration CLI de l'ASA pour la redistribution de OSPF dans RIP Configuration CLI équivalente Configuration CLI de l'ASA pour la redistribution de OSPF dans RIP router rip network 10.0.0.0 redistribute ospf 1 metric transparent version 2 ! router ospf 1 router−id 192.168.1.1 network 192.168.1.0 255.255.255.0 area 0 log−adj−changes Vous pouvez voir la table de routage du routeur voisin (R2) après la redistribution de routes OSPF dans RIP. R2#show ip route Codes: C − connected, S − static, I − IGRP, R − RIP, M − mobile, B − BGP D − EIGRP, EX − EIGRP external, O − OSPF, IA − OSPF inter area N1 − OSPF NSSA external type 1, N2 − OSPF NSSA external type 2 E1 − OSPF external type 1, E2 − OSPF external type 2, E − EGP i − IS−IS, su − IS−IS summary, L1 − IS−IS level−1, L2 − IS−IS level−2 ia − IS−IS inter area, * − candidate default, U − per−user static route o − ODR, P − periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 4 subnets R 172.16.10.0 [120/1] via 172.16.1.2, 00:00:25, Ethernet1 R 172.16.5.0 [120/1] via 172.16.2.2, 00:00:20, Serial1 C 172.16.1.0 is directly connected, Ethernet1 C 172.16.2.0 is directly connected, Serial1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.1.1.0/24 is directly connected, Ethernet0 R 10.77.241.128/26 [120/1] via 10.1.1.1, 00:00:06, Ethernet0 R 192.168.1.0/24 [120/1] via 10.1.1.1, 00:00:05, Ethernet0 192.168.2.0/32 is subnetted, 1 subnets R 192.168.2.1 [120/12] via 10.1.1.1, 00:00:05, Ethernet0 192.168.3.0/32 is subnetted, 1 subnets R 192.168.3.1 [120/12] via 10.1.1.1, 00:00:05, Ethernet0 !−−− Routes redistribuées annoncées par l'ASA Cisco ccnp_cch

Vérification ccnp_cch Exécutez ces étapes pour vérifier votre configuration. 1. Vous pouvez vérifier la table de routage en naviguant vers Monitoring> Routing> Routes. Vous pouvez voir que les réseaux 172.16.1.0/24, 172.16.2.0/24, 172.16.5.0/24 et 172.16.10.0/24 sont appris via R2 (10.1.1.2) avec RIP. 2. A partir de la CLI, vous pouvez utiliser la commande show route pour obtenir les mêmes résultats. ciscoasa#show route Codes: C − connected, S − static, I − IGRP, R − RIP, M − mobile, B − BGP D − EIGRP, EX − EIGRP external, O − OSPF, IA − OSPF inter area N1 − OSPF NSSA external type 1, N2 − OSPF NSSA external type 2 E1 − OSPF external type 1, E2 − OSPF external type 2, E − EGP i − IS−IS, L1 − IS−IS level−1, L2 − IS−IS level−2, ia − IS−IS inter area * − candidate default, U − per−user static route, o − ODR P − periodic downloaded static route Gateway of last resort is not set R 172.16.10.0 255.255.255.0 [120/2] via 10.1.1.2, 0:00:10, inside R 172.16.5.0 255.255.255.0 [120/2] via 10.1.1.2, 0:00:10, inside R 172.16.1.0 255.255.255.0 [120/1] via 10.1.1.2, 0:00:10, inside R 172.16.2.0 255.255.255.0 [120/1] via 10.1.1.2, 0:00:10, inside C 10.1.1.0 255.255.255.0 is directly connected, inside C 10.77.241.128 255.255.255.192 is directly connected, dmz S 10.77.0.0 255.255.0.0 [1/0] via 10.77.241.129, dmz C 192.168.1.0 255.255.255.0 is directly connected, outside O 192.168.2.1 255.255.255.255 [110/11] via 192.168.1.1, 0:34:46, outside O 192.168.3.1 255.255.255.255 [110/11] via 192.168.1.1, 0:34:46, outside ciscoasa# ccnp_cch

Résolution de problèmes Cette section comprend des informations qui peuvent être utiles pour résoudre des problèmes liés à RIP. Commandes pour résolution de problèmes  debug rip events - Valide le debugging des évènements RIP. ciscoasa#debug rip events rip_route_adjust for inside coming up RIP: sending request on inside to 224.0.0.9 RIP: received v2 update from 10.1.1.2 on inside 172.16.1.0 255.255.255.0 via 0.0.0.0 in 1 hops 172.16.2.0 255.255.255.0 via 0.0.0.0 in 1 hops 172.16.5.0 255.255.255.0 via 0.0.0.0 in 2 hops 172.16.10.0 255.255.255.0 via 0.0.0.0 in 2 hops RIP: Update contains 4 routes RIP: sending v2 flash update to 224.0.0.9 via dmz (10.77.241.142) RIP: build flash update entries 10.1.1.0 255.255.255.0 via 0.0.0.0, metric 1, tag 0 172.16.1.0 255.255.255.0 via 0.0.0.0, metric 2, tag 0 172.16.2.0 255.255.255.0 via 0.0.0.0, metric 2, tag 0 172.16.5.0 255.255.255.0 via 0.0.0.0, metric 3, tag 0 172.16.10.0 255.255.255.0 via 0.0.0.0, metric 3, tag 0 RIP: Update contains 5 routes RIP: Update queued RIP: sending v2 flash update to 224.0.0.9 via inside (10.1.1.1) RIP: build flash update entries − suppressing null update RIP: Update sent via dmz rip−len:112 RIP: sending v2 update to 224.0.0.9 via dmz (10.77.241.142) RIP: build update entries 192.168.1.0 255.255.255.0 via 0.0.0.0, metric 1, tag 0 192.168.2.1 255.255.255.255 via 0.0.0.0, metric 12, tag 0 192.168.3.1 255.255.255.255 via 0.0.0.0, metric 12, tag 0 RIP: Update contains 8 routes RIP: sending v2 update to 224.0.0.9 via inside (10.1.1.1) 10.77.241.128 255.255.255.192 via 0.0.0.0, metric 1, tag 0 ccnp_cch

ccnp_cch RIP: Update contains 4 routes RIP: Update queued RIP: Update sent via dmz rip−len:172 RIP: Update sent via inside rip−len:92 RIP: received v2 update from 10.1.1.2 on inside 172.16.1.0 255.255.255.0 via 0.0.0.0 in 1 hops 172.16.2.0 255.255.255.0 via 0.0.0.0 in 1 hops 172.16.5.0 255.255.255.0 via 0.0.0.0 in 2 hops 172.16.10.0 255.255.255.0 via 0.0.0.0 in 2 hops ccnp_cch